DB12T 1297-2023電子政務云平臺安全監(jiān)測預警技術指南

電子政務云平臺安全監(jiān)測預警技術指南2023-12-28發(fā)布2024-02-01實施天津市市場監(jiān)督管理委員會發(fā)布I本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定本文件由天津市互聯(lián)網信息辦公室提出并歸口。本文件起草單位：天津市大數(shù)據管理中心。本文件主要起草人：邊柯柯、王鍵、李亮、趙小銳、郎彬輝、王超(男)、邢智遠、尹愷、王超(女)、高博、李瑞、陳馨、王瑞雪、張磊、康美玲、朱婷婷、張偉。1電子政務云平臺安全監(jiān)測預警技術指南本文件規(guī)定了電子政務云平臺網絡安全預警的監(jiān)測、分類和實施。本文件適用于電子政務云平臺網絡安全的監(jiān)測預警。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069—2022信息安全技術術語GB/Z20986—2007信息安全技術信息安全事件分類分級指南GB/T32924—2016信息安全技術網絡安全預警指南GB/T36635—2018信息安全技術網絡安全監(jiān)測基本要求與實施指南3術語和定義GB/T25069—2022、GB/T32924—2016和GB/T36635—2018界定的術語和定義適用于本文件。4監(jiān)測預警分類4.1監(jiān)測分類監(jiān)測分類應按照GB/Z20986—2007中4.2的要求。4.2預警分類預警分類應按照GB/T32924—2016中4.2的要求。5安全監(jiān)測實施指南5.1采集5.1.1采集范圍采集范圍覆蓋天津市的電子政務云平臺互聯(lián)網業(yè)務區(qū)和公用業(yè)務區(qū)的網絡核心節(jié)點交換、移動接入點等關鍵節(jié)點。5.1.2采集內容采集內容包括網絡流量、資產信息、威脅情報、脆弱性信息、安全基礎資源和服務產生的告警數(shù)據、與安全相關的安全審計日志等。25.1.3采集方式對于不同的數(shù)據源，可采用以下方式：a)被動獲?。罕粍咏邮諗?shù)據源發(fā)送的數(shù)據，數(shù)據采集頻率可由數(shù)據源的發(fā)送頻率決定；b)主動采集：主動發(fā)起獲取網絡安全設備的數(shù)據，數(shù)據采集頻率可設置；c)手動導入：本地手動導入的數(shù)據。應實現(xiàn)安全存儲，安全存儲可包括以下方式：a)建立相應的流量元數(shù)據、資產數(shù)據、日志數(shù)據、告警數(shù)據、威脅情報數(shù)據等數(shù)據庫；b)對結構化數(shù)據、半結構化數(shù)據和非結構化數(shù)據進行存儲，支持文本、關鍵值、對象等多種數(shù)據類型的存儲，支持可伸縮的分布式數(shù)據存儲架構，滿足數(shù)據量持續(xù)增長需求；c)業(yè)務相關的敏感數(shù)據加密存儲；d)數(shù)據存儲時間符合相關規(guī)定；e)數(shù)據遷移、異常恢復的存儲機制；f)節(jié)點擴展和數(shù)據均衡應用下的存儲機制。對采集的數(shù)據通過數(shù)據分析技術，對政務云平臺的信息安全事件、漏洞威脅、運行狀態(tài)進行監(jiān)測和分析，可采用以下方法：a)特征碼匹配法：將待檢測內容與惡意流量特征、惡意文件特征、惡意代碼特征等特征值進行匹配，然后根據匹配結果判斷待檢測的內容是否被感染；b)事件關聯(lián)分析法：提供不同大量復雜事件的關聯(lián)分析，提供預定義的關聯(lián)規(guī)則，包括網絡異常、暴力破解、賬號異常等多種場景規(guī)則，并支持預定義和修改關聯(lián)規(guī)則；c)數(shù)據挖掘法：從大量的數(shù)據中通過特征碼識別、統(tǒng)計報表、在線分析處理和信息檢索等諸多方法，揭示隱藏于其中的信息；d)場景化分析法：包括流量異常、業(yè)務資產主動外連、賬號異地登錄、弱口令、數(shù)據庫敏感操作檢測等；e)綜合態(tài)勢分析法：對網絡的整體安全態(tài)勢進行分析，包括業(yè)務系統(tǒng)、數(shù)據資產、攻擊源等；f)威脅態(tài)勢分析法：對網絡攻擊行為和安全事件的分析，包括隱蔽通道、網絡掃描、DDoS攻擊、漏洞利用攻擊、信息泄露等，結合威脅情報進行分析；g)資產態(tài)勢分析法：針對網絡中資產的漏洞和配置進行分析，自動計算出相關的風險指數(shù)，基于資產的區(qū)域、類型、重要程度等信息，結合安全事件、漏洞信息進行多維度風險分析。當發(fā)生網絡安全事件、漏洞、隱患、惡意木馬病毒時，有針對性的發(fā)出告警信息，可采用以下方法：a)將各類安全告警信息基于等級分類，形成相應處置任務，通報相關責任人進行處置，并記錄歸檔；b)將安全告警信息中的攻擊源IP添加黑名單操作；c)對安全告警信息進行調查記錄，包含告警溯源信息和關聯(lián)的原始日志等；d)